在一次業務促銷活動中,一間連鎖零售店向顧客發出「會員咭」。顧客須在咭上填上他們的姓名、身分證號碼、地址、性別及年齡。當顧客購物滿若干數額時,連鎖店便在咭上蓋上一個印。集齊若干個印後,顧客便可用咭換取禮物。一名顧客對連鎖店如何使用他的個人資料表示關注,並將此事轉告公署。
公署作出調查後,證實該連鎖零售店使用顧客的性別及年齡資料作客戶資料分析用途。至於保留顧客的姓名及聯絡資料則是方便日後聯絡,藉以保留一群忠心的顧客。接獲公署的意見後,該連鎖零售店對咭的形式作出修改,不再收集顧客的身分證號碼,並在咭上印上資料使用聲明。在新咭未印備的過渡期間,該店貼出通知,告知顧客有關新安排。
私隱專員對此個案的意見
保障資料第1(1)(c)原則訂明除非就資料的使用目的而言,資料屬足夠但不超乎適度,否則不得收集個人資料。一般來說,在換領禮物計劃中收集身分證號碼屬於收集超乎適度的資料。在本個案情況下為作顧客資料分析目的而收集顧客的性別及年齡方面的資料,私隱專員認為是可以接受的。不過,在年齡方面,只要求顧客顯示他們的年齡組別,「例如15-20歲」,一般來說便足以履行此目的。最後,連鎖零售店並無符合保障資料第1(3)原則的規定。該原則訂明當從某人收集個人資料,而該人是資料當事人,則須採取所有切實可行的措施告知該人其個人資料會用於甚麼目的。公署在調查後向該連鎖零售店發出警告信。